AWS IAM のアイコン

AWS IAM Esencial2010年〜

Servicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWS

Unos 3 min de lectura

Qué hace

AWS IAM (Identity and Access Management) es un servicio para controlar de forma segura el acceso a los recursos de AWS. Permite definir con detalle quién (usuarios, roles) puede hacer qué (leer, escribir, eliminar) en qué recursos (S3, EC2, etc.). IAM es gratuito y está disponible automáticamente al crear una cuenta de AWS.

Casos de uso

Se utiliza para gestionar permisos de acceso a AWS por miembro del equipo, controlar el acceso de aplicaciones a servicios de AWS, otorgar acceso temporal a socios externos, implementar políticas de acceso basadas en requisitos de cumplimiento y gestionar el acceso en entornos multicuenta. Constituye la base de seguridad de AWS.

Analogía cotidiana

Es como un sistema de control de acceso de un edificio. Solo las personas con una credencial de empleado (usuario IAM) pueden entrar al edificio, y cada departamento tiene acceso a diferentes pisos (permisos). El equipo de contabilidad puede entrar a la sala del sistema financiero y el equipo de desarrollo puede entrar a la sala de servidores, pero no pueden acceder a las áreas del otro. Los administradores pueden cambiar los permisos en cualquier momento.

¿Qué es IAM?

AWS Identity and Access Management (IAM) es el servicio que constituye el núcleo de la seguridad de AWS. Al crear una cuenta de AWS, se crea un usuario raíz con permisos completos, pero la práctica recomendada es evitar usar el usuario raíz para las tareas cotidianas. En su lugar, cree usuarios y roles de IAM con solo los permisos mínimos necesarios. IAM es un servicio global, lo que significa que la misma configuración se aplica en todo el mundo independientemente de la región.

Conceptos clave

IAM tiene cuatro conceptos clave. Los usuarios son identidades que corresponden a personas individuales y se utilizan para el inicio de sesión en la consola y el acceso programático. Los grupos son colecciones de usuarios; cuando se asignan permisos a un grupo, se aplican a todos los miembros. Los roles proporcionan permisos temporales y se utilizan para otorgar acceso a servicios de AWS como instancias EC2 y funciones Lambda. Las políticas son definiciones de permisos escritas en formato JSON.

El principio de mínimo privilegio

La práctica más importante en IAM es el principio de mínimo privilegio. Otorgue a cada usuario o rol solo los permisos mínimos necesarios para sus tareas. Por ejemplo, un proceso que solo lee datos de S3 debería tener únicamente permisos de lectura en S3, no de escritura ni eliminación. IAM Access Analyzer permite analizar qué permisos se están utilizando realmente e identificar los innecesarios. Para obtener una comprensión integral del principio de mínimo privilegio, los libros especializados (Amazon) son un excelente recurso.

Primeros pasos

Para comenzar con IAM, primero cree un usuario IAM de administrador en la consola de IAM y minimice el uso del usuario raíz. Luego cree usuarios y grupos para los miembros de su equipo y asigne políticas administradas de AWS (conjuntos de permisos predefinidos). Habilitar MFA (autenticación multifactor) protege su cuenta incluso si una contraseña se ve comprometida.

Aspectos a tener en cuenta

  • No utilice el usuario raíz para las operaciones diarias. Configure MFA y gestiónelo de forma segura
  • Nunca codifique claves de acceso directamente en el código fuente. Utilice roles de IAM o variables de entorno
  • IAM es gratuito, pero una configuración incorrecta puede provocar incidentes de seguridad, por lo que siempre debe seguir el principio de mínimo privilegio
共有するXB!

Servicios relacionados

Amazon Cognito iconoAmazon CognitoUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAWS CloudTrail iconoAWS CloudTrailUn servicio que registra y monitorea la actividad de API en cuentas AWSAmazon VPC iconoAmazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursosAWS Lambda iconoAWS LambdaServicio de computación serverless que ejecuta código sin gestión de servidores

Artículos relacionados

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué los endpoints de API de AWS difieren por región - Diseño de servicios globales y regionalesExplicamos las razones de diseño por las que existen endpoints regionales como ec2.us-east-1.amazonaws.com y endpoints globales como iam.amazonaws.com, así como los endpoints dual-stack y FIPS.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Entorno de shell basado en navegador - Acceso CLI instantáneo con AWS CloudShellExplica el entorno de shell basado en navegador con AWS CloudShell. Cubre el entorno CLI disponible instantáneamente desde la consola de administración de AWS, herramientas de desarrollo preinstaladas, integración automática de autenticación IAM, gestión segura de archivos y consejos prácticos para mejorar la eficiencia operativa.

Más en esta categoría

IAM Access Analyzer iconoIAM Access Analyzer SpecializedUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosAWS Certificate Manager iconoAWS Certificate Manager EssentialUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAWS Artifact iconoAWS Artifact SpecializedUn servicio para acceder bajo demanda a informes de cumplimiento y acuerdos de AWSAWS Audit Manager iconoAWS Audit Manager SpecializedUn servicio que automatiza la recopilación de evidencia y la evaluación para auditorías de cumplimientoAWS CloudHSM iconoAWS CloudHSM EspecializadoUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosAmazon Cognito iconoAmazon Cognito PopularUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAmazon Detective iconoAmazon Detective EspecializadoUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raízAWS Directory Service iconoAWS Directory Service EspecializadoUn servicio que proporciona Active Directory administrado en AWS

Artículos y servicios similares

Diseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAMAprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.AWS IAMServicio de autenticación y autorización para controlar de forma segura el acceso a recursos AWS, proporcionando gestión de acceso granular mediante usuarios, grupos, roles y políticasIAM Access AnalyzerUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosDetección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.AWS IAM Identity CenterServicio que proporciona inicio de sesión único en múltiples cuentas de AWS y aplicaciones SaaS